[CLOUD-ENGINEER] あるプロジェクトでの作業中、アプリケーション管理者にすべてのリソースを管理する責任が与えられました。彼は、既存のサービスアカウントの管理責任を別の管理者に委任し…

回答

• Option A

解説

• プロジェクト内のすべてのサービス・アカウントに対するサービス・アカウント・ユーザー・ロール（iam.serviceAccountUser）は、プロジェクト・レベルで付与できます。一方、プロジェクト内の特定のサービスアカウントに対するサービスアカウントユーザーロールは、サービスアカウントレベルで付与できます。したがって、与えられたシナリオのように、すべてのサービスアカウントを管理する権限を委任するために、サービスアカウントユーザロール(iam.serviceAccountUser)は、プロジェクトレベルで管理者に付与されます。
• 選択肢Aが正しいです。プロジェクトレベルでサービスアカウントのユーザロールiam.serviceAccountUserが付与されていれば、ユーザはプロジェクト内のすべてのサービスアカウントを管理できます。また、新しいサービスアカウントが作成されるたびに、管理者はその新しいサービスアカウントに対して自動的にiam.serviceAccountUserを付与します。
• 選択肢Bは誤りです。 iam.serviceProjectAccountUserはGoogle Cloudのサービス アカウント ユーザー ロールではありません。
• 選択肢Cは誤りです。iam.serviceAccountUserをサービスアカウントレベルの管理者に付与することは、特定のアカウントに対してサービスアカウントユーザーロールが付与されることを意味します。これにより、管理者はプロジェクト内の特定のサービスアカウントを管理できるようになりますが、すべてのサービスアカウントを管理できるわけではありません。そのためには、すべてのサービスアカウントに対して個別にロールを設定する必要があります。また、新しいサービスアカウントが作成される場合、管理者は他の管理者にiam.serviceAccountUserを付与する必要があります。
• 選択肢Dは誤りです。 iam.serviceProjectAccountUserはGoogle Cloudのサービス アカウント ユーザー ロールではありません。
• 参考にしてください。
• Googleクラウドのアイデンティティとアクセス管理 – サービスアカウント
• https://cloud.google.com/iam/docs/service-accounts

の詳細については、次の URL を参照してください。

不正解の理由

• 選択肢A
• 選択肢B
• 選択肢C
• 選択肢D